Sécurité Web

Le Cheval de Troie spécialisé dans le secteur bancaire ZLoader se répand sur internet à travers une campagne cybercriminelle en désactivant les alertes aux macros de Microsoft Office

 

L’hameçonnage est l’un des moyens les plus répandus de l’implantation des logiciels pirates. Ces mails frauduleux nécessitent généralement une action de la part de l’utilisateur pour activer leur contenu corrompu, comme un clic sur un lien écrit dans le texte ou un document Microsoft office attaché en pièce jointe. Les fichiers Word et Excel sont souvent utilisés pour implanter les rançongiciels, avec des macros programmées pour le vol de données.

Les macros sont des dangers en puissance, car elles sont capables de renfermer des codes frauduleux ; elles sont ainsi désactivées par défaut et ne fonctionneront que si elles sont lancées manuellement par l’utilisateur. Quand un document Office est ouvert, un message d’alerte apparaîtra pour signifier la présence d’une macro et signifier à l’utilisateur son caractère potentiellement dangereux. Si la macro n’est pas autorisée manuellement par l’utilisateur, le logiciel malveillant associé ne peut pas être téléchargé.

Une campagne d’hameçonnage a récemment été détectée ; c’était une campagne typique d’implantation de logiciel pirate, comme on en voit régulièrement. L’attaque initiale fut menée via des mails frauduleux ayant en pièces jointes des documents Office contenant des macros invitant l’utilisateur à télécharger un malware : dans le cas présent, ZLoader. Toutefois, une nouvelle méthode se répand aujourd’hui pour faire circuler des fichiers Office corrompus capables de désactiver les alertes informatiques aux macros et la protection automatique associée.

Dans cette campagne pirate, les éléments corrompus du rançongiciel ZLoader sont délivrés par mail, mais le corps du message ne contient pas de code malicieux ; c’est par une pièce jointe au format Microsoft Word que le piège se déclenche, initiant le téléchargement d’une feuille de calcul Excel protégée par un mot de passe depuis le serveur du cybercriminel permettant l’ouverture du fichier pirate et la mise en action de la macro.

Cette cyber-attaque s’appuie sur les éléments VBA et DDE de Microsoft Excel afin de corrompre les systèmes supportant les fichiers au format XLS.

Une fois que le fichier crypté Excel est téléchargé, le logiciel formaté VBA de Word lit les informations inscrites spécifiquement dans le document XLS. Le VBS de Word transforme ensuite le contenu des cellules au format VBA XLS afin de créer une nouvelle macro pour le fichier XLS. Une fois cela fait, le système de défense contre les macros d’Excel se trouve désactivé par le document Word qui l’a inscrit dans le registre des éléments autorisés par le programme pour désactiver les alertes de sécurité anti-macro d’Excel. Le VBA d’Excel autorise alors le téléchargement des fichiers corrompus de ZLoader, exécutés ensuite en utilisant rundll32.exe.

Bien que les fichiers corrompus soient téléchargés et installés à l’insu de l’utilisateur, cette attaque requiert quand même que sa victime autorise les macros dans le document Word initial. C’est très simple : il suffit de l’inviter à le faire en lui disant, par exemple, « ce document fut créé dans une version antérieure de Microsoft Word Office. Pour consulter ou éditer ce document, veuillez cliquer sur ‘‘autoriser le contenu’’ » à l’ouverture du document Word. Un simple clic sur cette invitation permettra l’activation de tout le processus d’infection du système.

ZLoader est une variante du tristement célèbre Cheval de Troie Zeus, apparu pour la première fois en 2006. Ce logiciel malveillant est aussi connu sous le nom de « ZBot » ou encore « Silent Night ». De nombreux cybercriminels l’utilisent : ce fut le cas pour de nombreuses campagnes de cyber-fraudes en 2020, prétextant des réductions sur des services de protection contre la Covid-19 ou des leurres encore plus répandus comme des offres d’emploi.

Une fois installé, le logiciel malveillant utilise divers modules pour voler les mots de passe de l’utilisateur, ses identifiants et même les informations des cookies de ses navigateurs ! Lorsque l’utilisateur se connecte à sa banque en ligne et accède à ses comptes sur un ordinateur infecté, les informations bancaires et toutes les données personnelles sont volées et exfiltrées sur le serveur C2 du cyber-pirate.

Afin de renforcer vos défenses contre les logiciels malveillants et l’hameçonnage, contactez l’équipe de TitanHQ dès aujourd’hui afin de vous renseigner sur les offres de sécurité email SpamTitan et de sécurité internet WebTitan. Ces deux offres peuvent être téléchargées et installées simultanément sur votre système pour vous protéger contre une foule de menaces informatiques en moins d’une heure. Vous disposerez d’un essai gratuit sans engagement de 14 jours vous permettant d’évaluer le service proposé, sa simplicité d’utilisation et son efficacité en matière de blocage des dangers numériques avant d’opter pour son achat.

Les attaques par hameçonnage au nom de HMRC en hausse de 87% au cours des 12 derniers mois

Les cybercriminels se font souvent passer pour des organismes reconnus lorsqu’ils attaquent les internautes par hameçonnage. Tandis que Microsoft arrive en tête des compagnies les plus imitées par ces pirates, les mails hameçons se faisant passer pour des courriers légitimes venant du service des impôts sont aussi monnaie courante. Au Royaume-Uni, le département légalement chargé de collecter l’impôt se nomme « Her Majesty’s Revenue and Customs », abrégé « HMRC » ; les cyber-pirates utilisent souvent ce nom en signature des mails frauduleux qu’ils envoient en hameçonnage, et c’est de plus en plus fréquent. Durant les douze derniers mois, en effet, le hameçonnage signé HMRC a augmenté son activité de 87%.

Le nombre des attaques par hameçonnage HMRC a bondi de 572 029 occurrences en 2019-2020 à 1 069 522 attaques en 2020-2021, selon les chiffres recensés par l’entreprise Lanop Outsourcing dans le cadre d’une enquête légitimée par le droit à l’information.

Le hameçonnage peut revêtir de nombreuses formes, mais ce sont les emails qui sont les plus fréquemment utilisés. Aussi, le nombre d’attaques par hameçonnage HMRC par email a enregistré une hausse de 109% avec 630 193 arnaques en 2020-2021. Les leurres les plus communs de ces campagnes frauduleuses consistent en une notification à l’utilisateur lui indiquant qu’il a droit à une remise et un remboursement sur son imposition pour l’année en cours : on en dénombre 90% année après année. Il y a également une forte hausse des cyberattaques par SMiShing (hameçonnage par SMS) s’élevant à 52% ainsi qu’une hausse des arnaques par Vishing (hameçonnage par message vocal) enregistrée à 66%.

Il y a une augmentation encore plus importante des messages frauduleux se faisant passer pour le service délivrant les permis de conduire (le « Driver and Vehicle Licensing Agency » au Royaume-Uni, abrégé « DVLA ») : en 2019-2020, le HMRC recevait 5 549 plaintes pour hameçonnage signé par un faux DVLA, tandis qu’en 2020-2021 on en dénombrait 42 233, soit une hausse de 661%.

Les attaques par hameçonnage au nom de faux HMRC et DVLA ciblent des individus, mais ils sont aussi très dangereux pour les entreprises : le but de ces arnaques est l’obtention de données sensibles comme les mots de passe, qu’ils peuvent ensuite réutiliser contre lesdites entreprises. Le hameçonnage permet aussi l’implantation de logiciels malveillants : une fois téléchargés sur le réseau de l’entreprise, ces logiciels espions collectent les données d’accès que les pirates n’ont plus qu’à utiliser pour s’infiltrer dans tout le réseau et le compromettre.

La protection contre le hameçonnage nécessite une défense comportant une approche du problème en profondeur, qui doit commencer par la formation des utilisateurs du système en réseau car ce sont eux qui sont visés par les cyber-pirates. Les employés doivent savoir identifier les mails frauduleux et savoir quoi faire lorsqu’ils reçoivent un mail suspect. C’est encore plus important à une époque où les employés télé-travaillent depuis chez eux, ce qui suppose que le département d’informatique ne peut plus avoir la même visibilité sur leur matériel et les protéger au besoin.

Même avec de l’entraînement, les employés commettent encore des erreurs : une étude menée sur le télétravail a révélé que de nombreux employés travaillant depuis leur domicile avaient négligé de prendre des mesures de sécurité requises, ce qui a créé des facteurs de risque pour l’entreprise qui les emploie. Il est donc primordial d’installer un système de protection technique qui garantira que les spams et le hameçonnage n’atteindront pas leurs boîtes mails.

Une protection par filtrage de spams avancé est une nécessité : un filtre spam est la plus importante mesure technique à installer pour bloquer le hameçonnage. Là où les filtres spams standards sont efficaces pour bloquer le hameçonnage venant d’adresses IP connues et enregistrées comme étant malveillantes, les filtres spams avancés comme SpamTitan ont un niveau de détection de piratage supérieur et permettent d’identifier les attaques par hameçonnage encore non répertoriées. SpamTitan utilise une technologie de prévention et l’intelligence artificielle pour repérer les adresses IP malveillantes encore inconnues. La fonction bac à sable protège le système contre les logiciels malveillants qui n’ont pas encore de signature répertoriée par les antivirus et le DMARC permet de bloquer les mails des cybercriminels se faisant passer pour des organisations légitimes comme le HMRC.

Le hameçonnage consiste à envoyer un leurre par email à un utilisateur, mais la récolte des données s’opère sur un site internet contrôlé par le cyber-pirate. Les liens de redirection vers ces sites web frauduleux fournis dans l’email hameçon seront bloqués et la protection grandement améliorée par l’utilisation d’un filtre internet, qui permettra aussi de bloquer les tentatives de visites de ces sites web malveillants via des messages smishing ou encore la navigation web, ainsi que le blocage des téléchargements d’éléments dans lesquels se cachent les logiciels malveillants.

Si vous voulez protéger votre entreprise des attaques par hameçonnage, des logiciels malveillants, des rançongiciels et éviter la fuite de vos données sensibles, contactez l’équipe de TitanHQ et découvrez comment vous pouvez renforcer votre système de sécurité en bloquant davantage d’emails et autres menaces internet.

Le Nouveau Logiciel Malveillant MosaicLoader Distribué via les Publicités en Ligne pour les Logiciels Piratés

 

Un nouveau variant de logiciel malveillant (ou « malware ») est apparu : il se propage via des publicités malignes apparaissant en tête de liste des moteurs de recherche lorsque l’on tape les mots-clefs pour « cracker » – ou pirater un logiciel. Ce nouveau malware a été surnommé « MosaicLoader » par les chercheurs en sécurité de Bitdefender, qui ont noté une hausse significative du nombre de logiciels malveillants au cours des dernières semaines.

Comme son nom le laisse supposer, MosaicLoader est un outil de téléchargement de malwares. Il a été développé pour implanter un piratage financier dans les appareils connectés de ses victimes, avec la notion de « Mosaic » de son nom révélant bien sa structure interne très complexe, élaborée pour empêcher les chercheurs en sécurité d’analyser et d’inverser son ingénierie frauduleuse.

Ce logiciel malveillant tient sa complexité de l’utilisation de toute une gamme de méthodes lui permettant d’échapper à la détection et de brouiller la compréhension de qui s’y risquerait grâce à un code de cryptage morcelé, disséminant l’exécution des tâches en une structure ressemblant à une mosaïque. Comme si cela ne suffisait pas, ce malware reprend également les informations fichiers des autres logiciels fiables pour se rendre crédible.

Actuellement, la campagne de diffusion de MosaicLoader cible des internautes à la recherche de logiciels crackés en les attirant avec des publicités frauduleuses sur les moteurs de recherche répondant à plusieurs mots de passe relatifs au piratage informatique ; une fois que l’on clique dessus, on télécharge un élément de MosaicLoader qui s’installe simplement, comme le ferait un logiciel fiable, comprenant en métadonnées le nom et la description d’une entreprise informatique connue avec son icône et ses informations fichiers.

Les éléments de MosaicLoader initialement téléchargés emploient des noms comme mirc-7-64-keygen-plus-crack-fully-version-free-download, officefix-professional6-122-crack-full-version-latest-2021, et setup-starter_v2.3.1. Il y a en a aussi un imitant le processeur NVIDIA, même si sa signature n’est en réalité pas rattachée à NVIDIA. Une fois que les utilisateurs installent ces éléments dans leur système, ils déclenchent une infection de virus en chaîne, qui opérera en tâche de fond sans qu’ils ne s’en rendent compte, aucune fenêtre ne s’ouvrant pour la leur signaler.

C’est parce qu’il peut être utilisé pour voler n’importe quelle somme d’argent dans le système de l’utilisateur que MosaicLoader particulièrement dangereux : il possède en effet une grande variété d’outils, comme les Chevaux de Troie à distance, les virus, les « portes dérobées » (ou « backdoors »), les voleurs de cookies et les mineurs de crypto-monnaie. D’après l’activité de vol pécuniaire observé, il semblerait qu’à l’origine MosaicLoader ait été dirigé par un groupe de cyber-pirates, mais il pourrait également être utilisé comme modèle type de malware-as-a-service opérant par mails frauduleux et spams.

En théorie, se protéger de MosaicLoader est simple : il suffit que les utilisateurs s’abstiennent de télécharger des logiciels crackés. Non seulement c’est illégal, mais ils courent aussi le risque en faisant cela d’installer des malwares comme MosaicLoader, des logiciels espions, des publiciels et de nombreux autres programmes indésirables (ou PUPs). Il est essentiel d’avoir une bonne protection contre les logiciels malveillants et un antivirus installé dans le système informatique, le tout régulièrement mis à jour.

Les employés sont toujours à la recherche d’un moyen de simplifier leur quotidien et il est fréquent qu’ils essaient d’y parvenir en installant un logiciel non autorisé : c’est ce que l’on appelle le Rogue IT (ou Shadow IT). Mais s’il peut fournir un gain de temps à l’employé durant son temps de travail au bureau, le Rogue IT comporte des risques, notamment celui d’installer un logiciel piraté. Ce risque s’est encore accru durant la pandémie de COVID 19, la plupart des employés télé-travaillant depuis chez eux.

Les entreprises peuvent renforcer leur protection contre MosaicLoader et les autres logiciels malveillants en contrôlant soigneusement les sites internet auxquels les employés ont accès sur leurs ordinateurs et téléphones de fonction ainsi que leur matériel personnel. Les filtres de contenu, comme WebTitan, peuvent être configurés pour restreindre l’accès aux sites internet sans rapport avec le travail ou encore bloquer certaines catégories de sites, connues aussi comme étant des URLs malveillantes.

Les filtres internet peuvent aussi être configurés pour bloquer les téléchargements de fichiers spécifiques, comme les installateurs de logiciels et autres fichiers pouvant servir à installer des malwares. Il est également très important d’expliquer fermement à l’équipe que le téléchargement des logiciels non approuvés est strictement interdit, et que l’installation de logiciels crackés est illégale.

Pour plus d’informations sur le filtrage de contenu avec un filtre DNS et les autres mesures de cyber-sécurité que vous pouvez envisager pour vous protéger des logiciels malveillants, contactez TitanHQ dès aujourd’hui. Vous pourrez bénéficier d’un essai gratuit sur le filtre internet WebTitan ; il s’installe en quelques minutes et vous donnera d’excellents résultats en moins d’une heure.

Tor et le Dark Web

Il se passe de nombreuses choses dans le Dark Web aujourd’hui, entre la propagation des logiciels malveillants par les cybercriminels, le piratage de données informatiques et le vol de coordonnées bancaires.

Le Dark Web est un réseau crypté connectant les serveurs Tor et leurs utilisateurs, totalement séparé du réseau internet mondial connu comme le « World Wide Web ». Le nom de « Tor » est l’acronyme de « The Onion Router » (le « routage en oignon ») ; il permet à ses utilisateurs de naviguer sur internet, de chatter, d’envoyer des messages instantanés de manière anonyme. Il n’est pas intrinsèquement néfaste. Voici comment les développeurs de Tor considèrent leur création, sur la page https://www.torproject.org/ : « Tor est un logiciel gratuit et un réseau ouvert qui vous aide à vous protéger de l’analyse du trafic, une forme de surveillance réseau qui menace la liberté et la vie privée des internautes, les activités commerciales confidentielles, les relations et la sécurité nationale. »

On a enregistré une hausse de 24% des sites « onions » sur le Dark Web entre 2014 et 2015, d’après une recherche Flashpoint. L’utilisation de Tor a encore augmenté l’année dernière depuis la divulgation au public du programme de surveillance de la NSA.

Un peu d’histoire

C’est globalement une image négative que renvoie le Dark Web : en mars, une étude du CIGI a révélé que sept personnes sur dix voudraient que le Dark Web n’existe plus. La plupart des gens ont entendu parler de ce phénomène pour la première fois en 2013 quand le FBI a démantelé la « Route de la Soie » (ou « Silk Road »), le plus grand marché noir alors en ligne trafiquant des armes et de la drogue. Mais le Dark Web n’était pas à l’origine le quartier général des criminels : Tor a en effet été développé dans les années 1990 par des ingénieurs en informatique en partenariat avec des agences gouvernementales. En 2006, le Projet Tor fut créé en tant qu’organisation à but non lucratif afin de servir tout public.

On peut avoir de nombreuses raisons de souhaiter rester anonyme sur internet en utilisant Tor :

Dans quelques pays qui bloquent certains sites web, Tor offre un moyen d’y accéder. Par exemple, en septembre 2015, en Chine, plus de 3000 sites internet étaient inaccessibles. Cela incluait la plupart des offres Google, Facebook, YouTube, Twitter et Instagram. L’anonymat est essentiel quand il s’agit de communiquer des informations confidentielles ou de dénoncer certaines choses. Aujourd’hui, de nouvelles plateformes comme The Guardian, The Intercept et The New Yorker possèdent tous des sites localisés dans le Dark Web où circulent des éléments ayant fuité. Bien sûr, WikiLeaks en fait autant. Tor et le Dark Web ont été utilisés pour la mobilisation du printemps arabe. Certaines personnes utilisent Tor pour garder leurs sites internet à l’abri de la traçabilité publicitaire.

Comment fonctionne Tor ?

Tor n’est pas le seul système capable d’accéder au Dark Web ; c’est seulement le plus populaire. Les autres intègrent Freenet ou le Invisible Internet Project (I2P). Voici comment Tor fonctionne : il achemine le trafic du réseau de l’utilisateur et le remanie à travers une série de relais jusqu’à lui faire atteindre sa destination. Chaque nœud (ou routage « onion ») connaît l’élément qui le précède et qui le suit dans le cheminement, mais aucun autre dans le circuit. Le trafic parcourant le circuit est envoyé par paquets de taille identique, décodés par une clef symétrique à chaque nœud (comme les différentes couches d’un oignon) et relayés au rang inférieur. The procédé entraîne l’anonymat de la location de l’utilisateur et complexifie le suivi de son activité.

Le cryptage Tor est généré par les serveurs Tor, pas votre ordinateur. Le trafic entre deux nœuds Tor n’est pas traçable, mais celui passant par une porte Tor pour entrer ou sortir de l’internet « normal » l’est, lui, à moins que le cryptage SSL ne soit activé. Tor n’est pas un système de chiffrement de bout en bout ; si la communication n’est pas cryptée en utilisant un logiciel spécifique avant de rejoindre le réseau Tor, il sera lisible par tout le monde au moment de la connexion. Comme on suspecte la NSA d’administrer une grande partie des portails Tor accessibles par le public, il y a fort à parier que tout type de trafic non crypté est également surveillé par la NSA.

De nombreux utilisateurs accèdent à Tor via un VPN. Voici pourquoi :

  • Un VPN vous permet de falsifier votre position géographique.
  • Comme nous l’avons déjà mentionné, n’importe qui utilisant Tor peut lire une communication non cryptée passant par ce portail.
  • Un VPN protège la vie privée.
  • Certains fournisseurs d’accès internet bloquent Tor ; ils ne détectent toutefois pas l’accès à Tor par le biais d’un VPN.
  • La porte d’accès à Tor relèvera l’adresse IP du serveur VPN, pas la véritable adresse IP de l’utilisateur.

Mais les portes de sorties Tor sont souvent bloquées. De plus, un VPN ne fournit aucune protection contre un éventuel programme malveillant à la sortie de Tor. Plutôt que d’utiliser un VPN, quelques utilisateurs Tor utilisent un pont de sortie comme Obfsproxy ; cela peut s’avérer efficace pour bloquer l’utilisation de Tor si l’inspection profonde de paquets n’est pas configurée pour le détecter.

À quoi ressemble le Dark Web ?

La première chose à remarquer à propos de Tor est la lenteur de son navigateur ; il est encore plus lent s’il est couplé à l’utilisation d’un VPN. L’URL semble bizarre : voyez par exemple l’adresse http://wlupld3ptjvsgwqw.onion (le site du Dark Web pour Wikileaks). Des protocoles différents des standards HTTP et HTTPS sont légion, avec pour les plus courants IRC, IRCS, Gopher, XMPP, et FTP. Une longue enquête menée par TrendMicro a révélé que 41% des URLs sont russes, contre 40% d’URLs anglaises.

Trouver ce que vous recherchez s’apparente à un défi car de nombreux sites apparaissent et disparaissent en l’espace de quelques jours. Ce n’est pas dû à un manque de moteurs de recherche : le plus commun, Grams, ressemble à Google. Comme il y a de nombreux liens vers des pages web frauduleuses, quelques utilisateurs comptent sur les liens en .onion de Tor pour s’y retrouver. Une alternative consiste en un moteur de recherche qui relaie le service puis le lien onion de Tor et le rend transformé et compatible avec un navigateur standard WWW.

Le Dark Web a des sites similaires disponibles sur l’internet « normal » : Deep Web Radio est une station radio musicale mondiale. Il y a des services d’hébergement dédiés, des services mails et des chats anonymes ; il y a même des clones de Twitter. Bien sûr, il y a des blogs et des forums. En janvier 2016, ProPublica a lancé le premier grand site d’informations sur le Dark Web.

Des lanceurs d’alerte, des défenseurs des droits de l’Homme, des journalistes, des militaires et les forces de l’ordre sont tous présents sur le Dark Web. De même, des victimes de violences domestiques l’utilisent pour communiquer en dehors de la surveillance de leurs agresseurs.

La description du Dark Web ne serait pas complète sans la mention des sites en .BIT impliquant le Bitcoin, les marchés d’informations et d’objets volés, ainsi que tout le nécessaire des pirates informatiques. Daniel Moore et Thomas Rid rapportent dans leur livre, intitulé Cryptopolitik and the Darknet, que 57% des activités du Dark Web sont illégales. On peut légitimement affirmer que le Deep Web est un immense outil de partage d’informations qui facilitent l’activité criminelle. Les crypto-monnaies comme le Bitcoin et les réseaux d’anonymat comme Tor font de l’entrée sur le marché des logiciels malveillants un jeu d’enfant très lucratif rapidement.

La menace du hameçonnage grandit en même temps que le Dark Web

Plus de 90% des cyber-attaques de données commencent par un hameçonnage. La menace que constitue le hameçonnage grandit en même temps que le Dark Web. Le hameçonnage attaque sous différentes formes : l’envoi de logiciels espions, de rançongiciels et autres virus capables de voler de précieuses données qui sont ensuite facilement revendues sur le Dark Web. Le hameçonnage est la plus efficace, la plus répandue et la plus dangereuse des cyber-attaques !

Le DNS a un important rôle à jouer parce qu’il trace l’activité en réseau de toutes les organisations et que 90% des logiciels malveillants l’utilisent pour causer des dommages.

Le DNS fournit à l’organisation une chance d’intercepter le logiciel malveillant avant que celui-ci ne s’insinue dans ses commandes et ne contrôle son infrastructure. La visibilité DNS permet de remarquer les autres éléments indiquant le piratage comme les pics dans le trafic IP et le détournement du DNS.

La capacité à suivre et gérer l’activité DNS est très importante, car elle permet aux organisations de détecter les campagnes de hameçonnage et l’exfiltration de données qui en résulte. Il leur devient aussi possible de réduire le temps que les pirates peuvent passer dans le réseau et de repérer les domaines susceptibles de faire l’objet d’une activité criminelle et de vol de données.

En renforçant votre protection DNS, vous pouvez bannir les sites de hameçonnage une fois pour toutes : cela signifie que même si un employé clique sur un lien hameçon dans un mail, le lien ne fonctionnera pas.

Le filtrage DNS de WebTitan bloque l’accès aux logiciels malveillants, rançongiciels, hameçonnage, virus, sites frauduleux, logiciels espions, etc. Il élimine le mal à la source.

Découvrez comment le filtrage DNS de WebTitan protège votre DNS en temps réel du piratage et de tous les maux qu’il engendre.

Comment protéger les utilisateurs de la fuite des données et des attaques mails avancées

Sans les bons outils de cyber-sécurite, les organisations sont vulnérables aux escroqueries par hameçonnage, qui peuvent leur coûter des millions en recouvrement de désastre et en rançons si elles cèdent au chantage. La seule façon d’éviter cela est d’avoir une solide sécurité email utilisant DMARC et le filtrage de contenu.

SpamTitan inspecte chaque URL listée dans un mail pour détecter si elles sont sur liste noire, avec une couverture de 100% du web, protégeant ainsi vos utilisateurs des liens vers des sites frauduleux. Le sandboxing de SpamTitan contient une protection contre la fuite des données et les attaques mail expertes ; il offre un puissant environnement permettant d’effectuer une analyse en profondeur des programmes et des fichiers douteux.

Les attaques par hameçonnage sont très complexes et de plus en plus nombreuses. L’une des protections les plus efficaces consiste en une solution de sécurité email moderne et robuste comme SpamTitan, qui utilise un arsenal anti-hameçonnage comme le scan antivirus, l’analyse heuristique, l’authentification DMARC et le sandboxing. Peu de fournisseurs proposent une telle gamme en un seul outil.

SpamTitan est une protection email multi-récompensée, anti-hameçonnage et dotée d’un filtrage email. Commencez dès aujourd’hui votre essai gratuit de SpamTitan pour découvrir comment nous vous protègerons des cyber-attaques.

 

Restez avec nous…

Dans un prochain article, nous aborderons la question des ramifications techniques du Dark Web et les mesures qui bloqueront (ou non) l’accès à Tor depuis votre réseau.

Exemples types d’emails de hameçonnage

Le hameçonnage est une technique de piratage évolutive, ce qui suppose un vrai défi pour les utilisateurs standards qui doivent rester très vigilants. Les cybercriminels jouent sur les désagréments qui peuvent survenir dans la vie quotidienne : les escroqueries par hameçonnage utilisent ainsi plusieurs méthodes frauduleuses au cours d’une seule attaque pirate, souvent par le biais d’un lien renvoyant à un site internet factice mais d’apparence fiable, pour tromper un maximum de clients. Quel que soit le message choisi pour « hameçonner » l’utilisateur, l’objectif est invariablement le même : vous convaincre de passer à l’action. Voici quelques exemples types d’emails de hameçonnage que des millions d’utilisateurs reçoivent en permanence :

  • Vous recevez un email de la part d’un site de e-commerce vous informant qu’un ou plusieurs produits ont été commandés depuis votre compte. On vous demande alors de composer un numéro prétendument « sécurisé » pour vérifier ces achats. Téléphonez-vous à ce numéro ?
  • Vous recevez un mail d’une grande entreprise commerciale vous informant que votre compte a été suspendu sous prétexte d’activités suspectes, et vous devez cliquer sur le lien fourni dans le mail pour mettre à jour vos informations clients. Cliquez-vous sur le lien ?
  • Vous recevez un mail d’un service de streaming auquel vous avez souscrit. L’email vous informe que la société rencontre des difficultés à traiter vos informations de paiement et vous presse de cliquer sur le lien suivant pour réenregistrer vos données bancaires. En tant qu’abonné, devriez-vous accéder à cette requête ?
  • Vous recevez un mail avec une facture en pièce jointe. Le texte vous remercie pour votre récent achat de 279,46€. L’entreprise s’excuse de vous écrire si vous avez déjà effectué votre paiement. Dans le cas contraire, il vous est possible de consulter la facture par un simple clic sur la facture jointe ou sur le lien noté dans le mail, vous disant que vous serez redirigé sur votre compte. Envisagez-vous de lire cette facture ?
  • Vous recevez un mail de votre équipe de maintenance informatique au travail vous demandant d’installer une mise à jour logicielle nécessaire pour sécuriser votre ordinateur contre une nouvelle attaque pirate récemment découverte. L’email contient une signature indiquant « votre équipe de maintenance informatique ». Installez-vous la mise à jour ?

Restez toujours sur vos gardes

Dans tous ces cas de figure, la bonne réponse était de cliquer sur le bouton SUPPRIMER ! Le problème, c’est que même si on peut douter de l’authenticité de ces messages, les utilisateurs cliquent sur les liens hameçons en se disant qu’il y a une chance infime que ces messages soient sérieux. Vous devriez toujours vérifier un mail demandant une action de votre part.

La meilleure façon de vérifier l’authenticité d’un mail bizarre est de se déconnecter de la messagerie avant de cliquer sur le lien fourni. Par exemple, vous pouvez vous assurer d’un problème sur votre compte client en vous connectant tout simplement à partir d’une nouvelle page de navigateur internet. Une fois connecté, le site commerçant vous informera aussitôt s’il y a un problème à résoudre sur votre compte. Si vous avez effectué un achat il y a quelques temps, il apparaîtra dans votre historique d’achats. Si vous n’avez jamais entendu parler de la compagnie qui vous envoie une facture, faites une rapide recherche internet à leur sujet, et contactez-les en leur répétant les informations reçues. Si vous recevez un mail signé de votre maintenance informatique, téléphonez-leur ou écrivez-leur un nouvel email pour leur demander confirmation. Sachez que dans la majorité des cas, le service informatique ne vous contactera jamais directement pour vous demander à vous de mettre votre ordinateur à jour, car c’est leur travail !

Ne cliquez jamais sur un lien intégré vous redirigeant sur un site internet très connu. Ouvrez une nouvelle page de navigateur web et visitez le dit-site. N’appelez jamais au numéro mentionné dans le mail. Allez sur le site internet de l’entreprise et trouvez le numéro de téléphone du service commercial ou commencez une session de chat. Vous ne devriez jamais non plus cliquer sur une pièce jointe sans être certain qu’il provient d’une source fiable et qu’il y a une raison à ce que vous la receviez. En d’autres termes, si vous pensez que l’email vous alerte sur un point légitime, considérez-le simplement comme une notification ; passez ensuite à l’action qui vous est demandée en dehors du mail, par vous-même sur votre navigateur internet.

La vérification de liaison

L’action type que les pirates informatiques attendent de votre part est le clic sur un lien bizarre ou frauduleux qu’il vous envoient. Si vous éprouvez l’envie de cliquer sur un lien intégré au mail plutôt que d’ouvrir une nouvelle page sur votre navigateur internet, vous devriez au moins prendre cette simple précaution : survolez un des liens, une image ou un bouton de navigation avec votre curseur de souris pour vous assurer que l’adresse correspond à celle où vous voulez vous rendre.

Les emails de hameçonnage utilisent généralement les mêmes noms d’entreprises

Les cybercriminels utilisent souvent les noms des entreprises célèbres, encore et toujours, car la plupart des gens possèdent un compte client internet chez une ou plusieurs de ces firmes. On peut citer notamment Microsoft, UPS, Apple, Fedex, Google, Amazon, Netflix… À cause de la fréquence des attaques engageant leur nom, la plupart de ces compagnies ont une page spécifiquement prévue pour aider les utilisateurs à vérifier l’authenticité des mails qu’ils reçoivent, en précisant bien clairement que jamais elles ne vous demanderont par courriel des éléments comme :

  • Communiquer votre carte de crédit,
  • Renseigner votre numéro de compte bancaire,
  • Donner le mot de passe de votre compte client,
  • Effectuer un paiement via une tierce personne ou un site e-commerce affilié.

Si vous avez cliqué sur un des liens frauduleux d’email ou une pièce jointe et vous rendez compte que vous avez été trompé, vous devriez prendre les mesures suivantes au plus vite :

  • Changez le mot de passe de votre compte client au cas où il aurait été relevé lors d’un accès via un lien frauduleux,
  • Effectuez un scan de détection des programmes malveillants sur votre ordinateur incluant la vérification des points d’entrées informatiques,
  • Contactez votre établissement financier si vous avez communiqué des informations de paiement.

En plus d’une solide méfiance et d’une cyber-hygiène, vous devriez envisager aussi l’utilisation d’un système de sécurisation avancé protégeant vos emails comme SpamTitan. Ce programme, fort de l’intelligence artificielle, fournit une protection optimale contre le hameçonnage, un double antivirus et un blocage du courrier indésirable et autres spams, pour ne citer que quelques fonctions. SpamTitan prend en charge l’authentification des mails que vous recevez en faisant le travail à votre place, avant que ces mails n’arrivent dans votre boîte de réception.

La différence entre la sécurité DNSSEC et la sécurité DNS

Découvrez la différence entre la sécurité DNSSEC et la sécurité DNS dans cet article.

Bien qu’on ait aujourd’hui du mal à le croire, la structure de base de l’internet ne date que de 50 ans. La sécurité DNS a été créée en 1983 et s’est standardisée en 1986. L’email est un peu plus ancien, la première personne ayant utilisé le symbole @ pour lier un nom d’utilisateur avec un serveur de destination pour communiquer en 1971. Ces deux standards furent créés durant une période d’innocence : à notre connaissance, il n’y avait alors pas de pirates informatiques, et il n’y avait aucune organisation criminelle pour lancer des rançongiciels (aussi appelés « ransomwares »), ni de cyber-espion capable de cybercriminalité à une échelle nationale. C’était une époque où il vous était possible de faire confiance aux autres membres de la communauté web dont vous faisiez partie.

Les inventeurs de ces technologies n’ont probablement jamais songé à la sécurité en ce temps-là. À cause des dangers permanents de l’univers digital aujourd’hui, nous nous retrouvons dans l’obligation de repousser les limites de la technologie pour créer des mécanismes de défense pour des systèmes qui n’ont pas été conçus pour en comporter à l’origine. Puisque la sécurité DNS est un composant complet du travail en réseau et du trafic internet, il est primordial de le sécuriser, ce qui implique l’usage des sécurités DNS et DNSSEC. On les confond parfois en un seul système, mais c’est une erreur.

La sécurité DNS

La sécurité DNS est un système de sécurisation globale de votre infrastructure DNS. Le protocole DNSSEC est en fait une partie de ce système. La sécurité DNS implique non seulement la mise en place du DNSSEC comme meilleure protection, mais aussi l’installation d’un correctif et d’un outil de datation, sécurisant l’ensemble avec un périmètre et un coupe-feu local ainsi que d’autres protocoles spécifiques au système DNS comme les DoH. Il faut savoir que les DoH sont reconnus par DNS via la navigation en HTTPS, ce qui permet de crypter la communication DNS par l’utilisation d’un jeu de clefs chiffrées comme on le ferait pour sécuriser un site web.

Le caractère vulnérable du DNS

Avant de vous expliquer ce que fait le DNSSEC, il est important que vous compreniez le caractère vulnérable originel du DNS : lorsqu’un ordinateur émet une requête DNS pour naviguer sur le site que souhaite consulter l’utilisateur, il reçoit une réponse d’assistance de la part d’un serveur DNS. Il existe un système de hiérarchie DNS mondial : au sommet se trouvent treize éléments, appelés « racines », de serveurs DNS. Ces serveurs sont la première étape de la résolution du nom de domaine. Les serveurs racines renvoient la requête DNS au serveur du domaine de premier niveau correspondant, hiérarchiquement placé juste en dessous du serveur racine et répondant aux adresses en .com, .net, .org… Ces serveurs font suivre la requête des serveurs DNS jusqu’aux sous-domaines s’il en existe. À la fin de tout ce processus, l’utilisateur reçoit finalement en réponse l’adresse IP de l’hôte correspondant à ce qu’il cherche. Ce qui est incroyable, c’est la rapidité avec laquelle tout cela se réalise.

C’est sur une présomption énonçant que seul le système du DNS répond à la requête du client que l’on base la validité de l’adresse IP trouvée. Mais qu’en est-il si ce n’est pas le cas ? Comme le DNS n’est pas sécurisé, il est soumis à une attaque pirate potentielle ; une personne mal intentionnée peut ainsi injecter un serveur corrompu dans le système, ce qui peut automatiquement rediriger les clients vers des sites frauduleux. Ces sites peuvent prendre l’aspect des sites originels afin de voler les données personnelles des navigateurs ou encore leur amener un virus ou un cheval de Troie.

Comment fonctionne le DNSSEC ?

Le protocole DNSSEC permet de remédier à ce caractère vulnérable inhérent au système DNS grâce à l’ajout d’un niveau d’identification crypté basé sur un chiffrement à clef publique, vérifiant que le DNS correspond à un domaine légitime. Si plusieurs serveurs DNS répondent à la requête initiale, chacun est inspecté pour assurer à l’utilisateur une navigation fiable. Les treize racines sont déjà protégées par le DNSSEC. À validation d’une réponse par une racine, le décryptage se fait automatiquement sur le serveur correspondant, en cascade hiérarchique. Il est toutefois important de se souvenir que le DNSSEC ne crypte pas toute la navigation : c’est là le travail du DoH. Le DNS incluant un DNSSEC aura simplement besoin de plus de puissance de traitement pour fonctionner correctement.

Comment sécuriser votre technologie vulnérable ?

TitanHQ est à même de sécuriser votre navigation internet basée sur le DNS et vos communications par email grâce à une technologie avancée. WebTitan vous offre un filtrage DNS pour protéger vos utilisateurs des sites frauduleux et des virus indésirables. Le système de sécurité email SpamTitan bloque les tentatives d’hameçonnage, les rançongiciels et les autres logiciels malveillants. Si le DNS et le système email ont été inventés durant une époque sûre, c’est TitanHQ qui vous offre à présent de les sécuriser à l’ère où il n’est plus possible de faire confiance à internet.

Parlez-en à un expert en sécurité TitanHQ pour découvrir comment protéger votre système DNS sur plusieurs niveaux : contactez-nous dès aujourd’hui.